// /legal/security
安全中心
最后更新:2026-04-01
安全从来不是一句话。下面是 Jumborca 从产品到组织的安全实践——我们愿意把细节列清楚,方便你的安全团队评估。
1. 组织与流程
通过 ISO 27001 信息安全管理体系认证。年度外部渗透测试,全员年度安全与隐私培训。
2. 产品安全
SDLC 强制代码评审、SAST、依赖扫描;关键代码通过形式化验证与回放测试。所有决策事件签名留痕。
3. 数据加密
传输层 TLS 1.2+;存储层 AES-256。支持 KMS / HSM,密钥可完全客户自管。
4. 身份与访问
门户使用 Microsoft Entra External ID + 强制 MFA。所有员工访问生产走堡垒机,最小权限,全量操作留痕。
5. 事件响应
7×24 On-call。疑似事件 1 小时内启动响应流程,确认事件后 24 小时内通知受影响客户。
6. 漏洞报告
欢迎任何安全研究者提交漏洞。请发送到 security@jumborca.com,PGP 指纹见 /security/pgp.txt。我们承诺 48 小时内回复。